Verifikasi kunci yang digunakan oleh QuickSight - Amazon QuickSight

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Verifikasi kunci yang digunakan oleh QuickSight

Ketika kunci digunakan, log audit dibuat di AWS CloudTrail. Anda dapat menggunakan log untuk melacak penggunaan kunci. Jika Anda perlu mengetahui kunci mana QuickSight data dienkripsi, Anda dapat menemukan informasi ini. CloudTrail

Untuk mempelajari lebih lanjut tentang data mana yang dapat dikelola dengan kunci, lihatMengenkripsi QuickSight data Anda dengan kunci yang dikelola pelanggan AWS Key Management Service.

Verifikasi CMK yang saat ini digunakan oleh kumpulan data SPICE

  1. Arahkan ke CloudTrail log Anda. Untuk informasi selengkapnya, lihat QuickSight Informasi pencatatan dengan AWS CloudTrail.

  2. Temukan peristiwa hibah terbaru untuk SPICE kumpulan data, menggunakan argumen penelusuran berikut:

    • Nama acara (eventName) berisiGrant.

    • Parameter permintaan requestParameters berisi QuickSight ARN untuk kumpulan data.

    {
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "quicksight.amazonaws.com"
},
"eventTime": "2022-10-26T00:11:08Z",
"eventSource": "kms.amazonaws.com",
"eventName": "CreateGrant",
"awsRegion": "us-west-2",
"sourceIPAddress": "quicksight.amazonaws.com",
"userAgent": "quicksight.amazonaws.com",
"requestParameters": {
"constraints": {
    "encryptionContextSubset": {
        "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dataset/12345678-1234-1234-1234-123456789012"
    }
},
"retiringPrincipal": "quicksight.amazonaws.com",
"keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
"granteePrincipal": "quicksight.amazonaws.com",
"operations": [
    "Encrypt",
    "Decrypt",
    "DescribeKey",
    "GenerateDataKey"
]
},
....
}

  3. Tergantung pada jenis acara, salah satu dari berikut ini berlaku:

    CreateGrant— Anda dapat menemukan CMK yang paling baru digunakan di ID kunci (keyID) untuk CreateGrant acara terakhir untuk SPICE kumpulan data.

    RetireGrant— Jika CloudTrail peristiwa terbaru dari SPICE kumpulan dataRetireGrant, tidak ada ID kunci dan sumber daya tidak lagi dienkripsi CMK.

Verifikasi CMK yang saat ini digunakan saat membuat artefak laporan

  1. Arahkan ke CloudTrail log Anda. Untuk informasi selengkapnya, lihat QuickSight Informasi pencatatan dengan AWS CloudTrail.

  2. Temukan GenerateDataKey peristiwa terbaru untuk eksekusi laporan, menggunakan argumen penelusuran berikut:

    • Nama acara (eventName) berisi GenerateDataKey atauDecrypt.

    • Parameter permintaan (requestParameters) berisi QuickSight ARN untuk analisis atau dasbor tempat laporan dibuat.

    {
    "eventVersion": "1.11",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "quicksight.amazonaws.com"
    },
    "eventTime": "2025-07-23T23:33:46Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "quicksight.amazonaws.com",
    "userAgent": "quicksight.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/87654321-4321-4321-4321-210987654321",
        "keySpec": "AES_256",
        "encryptionContext": {
            "aws:quicksight:arn": "arn:aws:quicksight:us-west-2:111122223333:dashboard/1ca456fe-eb34-4250-805c-b1b9350bd164",
            "aws:s3:arn": "arn:aws:s3:::sn-imagegen.prod.us-west-2"
        }
    },
    ...
}

  3. aws:s3:arnadalah bucket S3 QuickSight milik tempat artefak laporan Anda disimpan.

  4. Jika Anda tidak lagi melihatGenerateDataKey, maka eksekusi laporan baru tidak lagi dienkripsi CMK. Artefak laporan yang ada akan tetap dienkripsi.